Was bedeutet die neue Datenschutz-Grundverordnung für Unternehmen?
Mit 25. Mai 2018 wird die neue Datenschutz-Grundverordnung europaweit wirksam: dann treten in der EU weitgehend einheitliche Regelungen an die Stelle des bisherigen Datenschutzrechts.
Der auffallendste Unterschied zum bestehenden Datenschutzrecht sind die wesentlich verschärften Strafdrohungen: Während zum Beispiel die Verletzung des Auskunftsrechts nach bisherigem Recht mit bis zu 500,00 EUR geahndet werden konnte, sind nach der neuen Datenschutz-Grundverordnung Geldstrafen bis zum jeweils höheren Betrag von 20 Millionen EUR oder 4 Prozent des weltweiten Vorjahresumsatzes möglich. Die Einhaltung der datenschutzrechtlichen Vorgaben ist daher von oberster Priorität und muss zur Chefsache gemacht werden, wenn es das nicht bereits ist!
Wie bisher braucht es auch zukünftig eine Rechtsgrundlage, wie die Einwilligung der betroffenen Personen oder eine gesetzliche Bestimmung, damit die Verarbeitung von personenbezogenen Daten rechtskonform ist. Die Einwilligung wird in der Praxis häufig als Rechtsgrundlage herangezogen. Eine entscheidende Neuerung in diesem Bereich, sind nicht nur die Strafdrohungen, die auch die Einhaltungen der Bedingungen für die Einwilligung bis zum jeweils höheren Betrag von 20 Millionen EUR oder 4 Prozent des weltweiten Vorjahresumsatzes sanktionieren, sondern ua die ausdrückliche Regelung, dass Einwilligungen nicht von nichterforderlichen Bedingungen abhängig gemacht werden dürfen. Auch die Klarstellung, dass Einwilligungen von Kindern (unter 16 Jahren) nur gültig sind, wenn ihre Eltern zustimmen, stellt eine Neuerung gegenüber aktuellem Datenschutzrecht dar. Da es keine Übergangsbestimmungen gibt, sind alle, die personenbezogene Daten verarbeiten (so genannte „Verantwortliche“) gut beraten, die datenschutzrechtlichen Einwilligungen, die sie bis dato verwendet haben vor dem Hintergrund der Datenschutz-Grundverordnung zu überprüfen.
Auch die Rechte der betroffenen Personen werden allen, die mit Datenschutz schon bisher zu tun hatten, vertraut vorkommen. Als Neuerungen sind insbesondere das zum Recht-auf-Vergessenwerden erweiterte Löschungsrecht, das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit zu nennen. Das Recht auf Datenübertragbarkeit steht zu, wenn
- personenbezogenen Daten,
- die von den betroffenen Personen bereitgestellt wurden,
- aufgrund eines Vertrages oder einer Einwilligung
automatisiert verarbeitet werden.
Dies ist etwa bei digitalen „Wunschzetteln“ oder „Einkaufswägen“ bei Online-Shops oder bei (Gratis)-Webmail-Services der Fall. Betroffene Personen dürfen die Daten runterladen oder verlangen, dass diese anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Dafür ist ein strukturiertes, gängiges und maschinenlesbares Format (wie etwa JSON, XML oder CSV) zu verwenden. Hinsichtlich des Formats „PDF“ bestehen seitens der Art-29-Datenschutzgruppe Bedenken.
Das Wort „Cloud“ wird man in der Datenschutz-Grundverordnung sowohl im deutschen als auch im englischen Text vergeblich suchen. Das bedeutet aber nicht, dass die Datenschutz-Grundverordnung keine Auswirkungen auf Cloud-Computing hat – im Gegenteil: wenn es dadurch zum „Export“ personenbezogener Daten aus der EU kommt, gelten die strengen Regelungen für die Übermittlung personenbezogener Daten an Drittländer.
Auch Big-Data wird nicht ausdrücklich in der Datenschutz-Grundverordnung geregelt. Aufgrund des – ebenfalls mit dem jeweils höheren Betrag von 20 Millionen EUR oder 4 Prozent des weltweiten Vorjahresumsatzes – sanktionierten Grundsatzes der DatenMINIMIERUNG, ist bereits sprachlich nur von einer eingeschränkten Zulässigkeit von Big Data auszugehen. Da allerdings sogar die Verarbeitung sensibler Daten, wie etwa von Gesundheitsdaten, zulässig ist, wenn die betroffenen Personen diese selbst öffentlich gemacht haben, wird wohl auch die Heranziehung „normaler“ personenbezogener Daten zulässig sein, wenn diese von den betroffenen Personen selbst öffentlich gemacht wurden. Angesichts der hohen Strafsanktionen ist bei Big-Data-Anwendungen aber besondere Vorsicht geboten.
Private Unternehmen haben einen Datenschutzbeauftragten zu benennen, wenn sie
- betroffene Personen regelmäßig und systematisch überwachen oder
- besondere Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, umfangreich (dh nicht ein einzelner Arzt oder Rechtsanwalt) verarbeiten oder
- personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten verarbeiten.
Das Unterlassen der Benennung eines Datenschutzbeauftragten ist mit dem jeweils höheren Betrag von 10 Millionen EUR oder 2 Prozent des weltweiten Vorjahresumsatzes sanktioniert.
Wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, ist eine sogenannte Datenschutz-Folgenabschätzung durchzuführen. Dabei sind die mit der Verarbeitung verbundenen Risiken, den Maßnahmen zur Eindämmung dieser Risiken gegenüberzustellen. Ein „gesetzlich bestätigtes“ Beispiel für eine solche Datenschutz-Folgenabschätzung findet sich in den Erläuterungen zum Deregulierungsgesetz 2017.
Die so genannte DVR-Meldung wird es ab Mai 2018 nicht mehr geben. Unternehmen, die mehr als 250 Mitarbeiter/innen beschäftigen oder Verarbeitungen durchführen, die mit Risiken für die betroffenen Personen verbunden sind, wie zB bei Verarbeitung von Gesundheitsdaten, haben auch zukünftig ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Eine weitere Änderung betrifft den Datenschutz von Mitarbeiter/innen: der aktuelle Begutachtungsentwurf eines Datenschutz-Anpassungsgesetzes 2018 sieht vor, dass auch die Bestimmungen des Arbeitsverfassungsgesetzes mit dem jeweils höheren Betrag von 20 Millionen EUR oder 4 Prozent des weltweiten Vorjahresumsatzes sanktioniert werden.
Die Datenschutz-Grundverordnung enthält keine (ausdrückliche) Übergangsfrist. Sie ist allerdings bereits am 25. Mai 2016 in Kraft getreten und wird zwei Jahre später, also am 25. Mai 2018 auch tatsächlich wirksam, sodass diese zwei Jahre als „Übergangsfrist“ anzusehen sind, in denen das neue Datenschutzrecht zwar schon veröffentlicht, aber nicht anzuwenden ist. Vor dem Hintergrund der hohen Strafdrohungen sowie der aktuellen Rechtslage zur Geschäftsführerhaftung, wonach „das Management […] für die Einhaltung gesetzlicher Bestimmungen die Letztverantwortung [trägt]“ ist die DSGVO-Tauglichkeit des eigenen Unternehmens rechtzeitig sicherzustellen. Dazu empfiehlt sich folgende, unvollständige Checkliste:
- Welche Verarbeitungen werden durchgeführt?
- Gibt es für jede Verarbeitung eine sichere Rechtsgrundlage nach der DSGVO?
- Werden die Informationspflichten und die Rechte der betroffenen Personen, wie etwa Auskunftsrecht, Recht auf Berichtigung, Recht auf Vergessenwerden oder Recht auf Datenübertragbarkeit eingehalten?
- Werden alle anderen Verpflichtungen der DSGVO eingehalten?